プライバシーと GDPR
Timi の検出器がどこで動くか、端末から出る/出ないデータ、そしてあなたの権利についてです。
ゴールデンルール
Coach Timi(カード)のフローでは、いかなるデータも端末を離れません。 7 つの advisor と 8 つのシグナル検出器は、端末上でローカルに動作します。オーケストレーターは完全にクライアントサイドです。
[!note] この判断は意図的なものです。プロアクティブなアドバイスについて外部 LLM に依存しない構造にし、案件カレンダーや税務期日が第三者サーバーに漏れないことを保証します。
では LLM(OpenAI、Anthropic)はどうしますか?
Timint は LLM をごく限定的な 2 つの文脈でのみ使用します。
- AssistantSheet — Home から横スワイプで開くリアクティブ・チャット。これは Timi ではなく、別の機能です。一部のクエリでは AssistantSheet が匿名化されたスナップショット(名前なし、ID なし)をバックエンドに送信し、バックエンドが LLM に問い合わせる場合があります。初回利用時に明示的な同意が必要です。
- Tool advisor — ツール計算後の文脈的な AI 推奨(
useToolAdvisor)。匿名化された入力と結果を Cloud Function のエンドポイントに送信します。
どちらの場合も、現状の Coach カードは LLM で生成されません。フェーズ 8 でこの接続を計画していますが、以下の条件が伴います。
- 初回利用時のブロッキング同意モーダル(予定)。
- 税務・金融・投資に関するすべての disclaimer を自動で添付。
- LLM 後に適用される禁止フレーズ・リスト(「X を買ってください」「Y を契約してください」などは禁止)。
GDPR 上の権利
- データポータビリティ —
requestDataExport(設定 > アカウント)から全データを一括エクスポート。 - 訂正権 —
requestDataRectificationから訂正リクエスト。 - 消去権 —
requestAccountDeletionでアカウント削除(即時 soft delete + 30 日目に hard delete)。 - 粒度の細かい同意 —
recordUserConsent:処理カテゴリごとに撤回可能。
処理ごとの法的根拠
| 処理 | 根拠 | DPIA 参照 | |---|---|---| | シグナル検知 + プロアクティブ・カード | Art. 6.1.b GDPR(契約の履行) | §2.2 | | 決定論的なパーソナライズ・アドバイス | Art. 6.1.b GDPR | §2.2 | | 第三者 LLM への移転(将来) | Art. 6.1.a + Art. 49.1.a(明示的同意 + Standard Contractual Clauses) | §2.5 | | 匿名化された分析 | Art. 6.1.f + opt-in | §2.2 |
クロスボーダー(EU 域外への移転)
LLM が米国から呼び出される場合(Anthropic/OpenAI のロードマップ・ケース)には、Standard Contractual Clauses(SCC)と文書化された DPIA が適用されます。同等性が確保され次第、AWS Bedrock UE または Anthropic UE への切り替えを予定しています。
常時表示の disclaimer
/coach インボックスの下部には、次の文が常に表示されます。Timi は情報提供を目的としたパーソナライズされた分析を提供します。Il ne se substitue pas à un conseiller en investissement, un avocat fiscaliste ou un expert-comptable.
AI Act — 第 50 条による透明性
aiGenerated=trueを持つカードは AI generated — verify with a pro バッジを表示します。現在このバッジを付けるカードはありません(すべて決定論的)。- インボックス末尾の常時 disclaimer。
- 初回利用時のブロッキング同意モーダル(フェーズ 8 にて予定)。
[!info] 詳しくは データプライバシー をご覧ください。GDPR 権利の詳細、エクスポート、訂正手続きを扱っています。